Wat is het model van gedeelde verantwoordelijkheid?

Het model van gedeelde verantwoordelijkheid definieert welke beveiligingscontroles de cloudprovider beheert en welke de klant moet implementeren. Bij IaaS (bijv. AWS EC2) beveiligt de provider de fysieke infrastructuur en virtualisatie terwijl de klant het besturingssysteem, applicaties en gegevens beheert. Bij PaaS beheert de provider daarnaast de runtime en het besturingssysteem. Bij SaaS beheert de provider vrijwel alles terwijl de klant toegang, gegevens en configuratie beheert. Het begrijpen van deze verdeling is essentieel voor compliance.

Wat is CSPM (Cloud Security Posture Management)?

Cloud Security Posture Management (CSPM) monitort continu cloudomgevingen op misconfiguraties, complianceschendingen en beveiligingsrisico's. CSPM-tools scannen cloudaccounts aan de hand van beveiligingsbenchmarks (CIS, NIST), detecteren publiek blootgestelde bronnen, identificeren te ruime IAM-beleidsregels en genereren compliancerapporten. Voorbeelden zijn Wiz, Orca, Prisma Cloud en AWS Security Hub.

Wat zijn de grootste cloudbeveiligingsrisico's?

De voornaamste cloudbeveiligingsrisico's zijn: misconfiguratie (publiek blootgestelde opslagbuckets, te ruime beveiligingsgroepen), identiteits- en toegangsbeheerfouten (overmatige rechten, gebrek aan MFA), onveilige API's (niet-geauthenticeerde endpoints, injectiekwetsbaarheden), gegevensblootstelling (onversleutelde gegevens, cross-regiotransfers die dataresidentie schenden) en onvoldoende logging (niet in staat incidenten te detecteren of te onderzoeken). Misconfiguratie alleen is verantwoordelijk voor het merendeel van cloudlekken.

Hoe verschilt cloudbeveiliging van on-premises beveiliging?

Cloudbeveiliging verschilt op verschillende belangrijke manieren: de perimeter is identiteitsgebaseerd in plaats van netwerkgebaseerd, infrastructuur wordt als code gedefinieerd en verandert snel, bronnen zijn API-gestuurd en kunnen direct worden geprovisioned of verkeerd geconfigureerd, multi-tenancy introduceert risico's van gedeelde infrastructuur, en het model van gedeelde verantwoordelijkheid betekent dat sommige controles de verantwoordelijkheid van de provider zijn. Cloudbeveiliging vereist geautomatiseerde, continue monitoring in plaats van periodieke beoordelingen.

Wat is cloud workload protection (CWPP)?

Cloud Workload Protection Platforms (CWPP) beveiligen workloads die in cloudomgevingen draaien — virtuele machines, containers, serverloze functies en Kubernetes-clusters. CWPP biedt kwetsbaarheidsscanning, runtime-bescherming, netwerksegmentatie, integriteitsmonitoring en compliancebeoordeling voor cloudnative workloads. Tools zijn onder meer CrowdStrike Falcon Cloud, Wiz, Aqua Security en Sysdig.

Welke complianceframeworks zijn van toepassing op cloudbeveiliging?

ISO 27001 (Annex A.5.23 — Clouddiensten), SOC 2 (CC6.1 — Logische toegang), NIS2 (Artikel 21(2)(d) — Toeleveringsketenbeveiliging inclusief cloud) en DORA (Artikel 28-30 — ICT-derdenrisico voor cloudproviders) vereisen allemaal cloudbeveiligingscontroles. Daarnaast bieden cloudspecifieke standaarden zoals ISO 27017 (cloudbeveiligingscontroles) en ISO 27018 (cloudprivacy) aanvullende richtlijnen.

Hoe beveiligt u een multi-cloudomgeving?

Het beveiligen van multi-cloudomgevingen vereist: gecentraliseerd identiteitsbeheer over alle providers (gefedereerde identiteit met een enkele IdP), consistent beveiligingsbeleid toegepast via infrastructure as code, geunificeerde logging en monitoring via een gecentraliseerde SIEM, cross-cloud CSPM voor configuratiecompliance, consistente encryptie en sleutelbeheer, en een enkel venster voor beveiligingsoperaties. Vermijd providerspecifieke tools die silo's creeren.

Cloudbeveiliging: de complete gids voor compliance- en beveiligingsteams

Published 8 mrt 2026

By Emre Salmanoglu

Cloudbeveiliging: de complete gids voor compliance- en beveiligingsteams

Q: Wat is cloudbeveiliging?

Cloudbeveiliging omvat de technologieen, beleidsregels, controles en processen die worden gebruikt om cloudgebaseerde systemen, gegevens en infrastructuur te beschermen. Het bestrijkt alle cloudimplementatiemodellen (IaaS, PaaS, SaaS) en adresseert unieke cloudrisico's waaronder misconfiguratie, gegevensblootstelling, identiteitscompromittering en lacunes in gedeelde verantwoordelijkheid. Cloudbeveiliging breidt traditionele beveiligingscontroles uit naar dynamische, multi-tenant, API-gestuurde omgevingen.

Leer hoe u cloudbeveiligingscontroles implementeert die voldoen aan ISO 27001, SOC 2, NIS2 en DORA-vereisten. Behandelt gedeelde verantwoordelijkheid, cloudnative beveiliging, CSPM, workloadbescherming en compliancebewijs.

cloudbeveiliging

cloudcompliance

gedeelde verantwoordelijkheid

CSPM

compliance

Wat is cloudbeveiliging?

Cloudbeveiliging is de discipline van het beschermen van cloud computing-omgevingen — inclusief infrastructuur, platformen, applicaties en gegevens — tegen bedreigingen, misconfiguraties en complianceschendingen. Het past traditionele beveiligingsprincipes aan op de dynamische, API-gestuurde, gedeelde-verantwoordelijkheidaard van cloud computing.

Voor compliance-gedreven organisaties is cloudbeveiliging essentieel omdat regelgevers steeds kritischer kijken naar hoe organisaties gegevens en systemen beschermen die in cloudomgevingen worden gehost onder ISO 27001, SOC 2, NIS2 en DORA.

Model van gedeelde verantwoordelijkheid

Laag	IaaS (bijv. AWS EC2)	PaaS (bijv. Azure App Service)	SaaS (bijv. Salesforce)
Fysieke beveiliging	Provider	Provider	Provider
Netwerkinfrastructuur	Provider	Provider	Provider
Virtualisatie	Provider	Provider	Provider
Besturingssysteem	Klant	Provider	Provider
Runtime/middleware	Klant	Provider	Provider
Applicatie	Klant	Klant	Provider
Gegevens	Klant	Klant	Klant
Identiteit en toegang	Klant	Klant	Klant
Configuratie	Klant	Klant	Klant

Cloudbeveiligingsdomeinen

Domein	Beschrijving	Kerncontroles
Identiteit en toegang	Authenticatie, autorisatie, privilegebeheer	SSO, MFA, minimale rechten, JIT-toegang
Gegevensbescherming	Encryptie, classificatie, preventie van gegevensverlies	Encryptie in rust/transit, DLP, sleutelbeheer
Netwerkbeveiliging	Segmentatie, verkeersfiltering, DDoS-bescherming	Beveiligingsgroepen, WAF, private endpoints, VPN
Workloadbescherming	Beveiliging van VM's, containers, serverless	CWPP, kwetsbaarheidsscanning, runtime-bescherming
Configuratiebeheer	Voorkomen en detecteren van misconfiguraties	CSPM, infrastructure as code, policy as code
Logging en monitoring	Zichtbaarheid in cloudactiviteit en bedreigingen	Cloudnative logging, SIEM-integratie, alertering
Incidentrespons	Detecteren van en reageren op cloudincidenten	Cloud IR-playbooks, forensische gereedheid

Cloudbeveiligingsarchitectuur

Component	Functie	Voorbeelden
CSPM	Configuratiecompliance en risicobeoordeling	Wiz, Orca, Prisma Cloud, AWS Security Hub
CWPP	Workloadbescherming over compute-typen	CrowdStrike, Aqua, Sysdig
CNAPP	Geunificeerde cloudnative applicatiebescherming	Wiz, Palo Alto Prisma Cloud
CASB	Schaduw-IT-ontdekking en SaaS-beveiliging	Netskope, Zscaler, Microsoft Defender for Cloud Apps
CIEM	Cloudidentiteits- en rechtenbeheer	Ermetic (Tenable), CrowdStrike, Wiz
KMS	Encryptiesleutelbeheer	AWS KMS, Azure Key Vault, HashiCorp Vault

Cloudbeveiligingscontroles

Controle	Beschrijving	Implementatie
Encryptie in rust	Alle opgeslagen gegevens versleutelen	Providersbeheerde of klantbeheerde sleutels
Encryptie in transit	Alle gegevens in beweging versleutelen	TLS 1.2+, mutual TLS voor service-naar-service
Minimale rechten IAM	Minimaal vereiste rechten	Rolgebaseerd beleid, regelmatige toegangsbeoordelingen
Netwerksegmentatie	Workloads en omgevingen isoleren	VPC's, beveiligingsgroepen, private subnetten
Logging	Alle API-aanroepen en wijzigingen vastleggen	CloudTrail, Azure Activity Log, GCP Audit Logs
MFA-handhaving	Multi-factor voor alle cloudtoegang	FIDO2 voor beheerders, conditioneel toegangsbeleid
Infrastructure as code	Infrastructuur definiëren in versiebeheerde sjablonen	Terraform, CloudFormation, Pulumi

Compliancevereisten

Frameworkmapping

Vereiste	ISO 27001	SOC 2	NIS2	DORA
Clouddiensten beveiliging	A.5.23	CC6.1	Art. 21(2)(d)	Art. 28-30
Gegevensbescherming	A.8.24	CC6.1	Art. 21(2)(d)	Art. 9(2)
Toegangscontrole	A.8.2	CC6.3	Art. 21(2)(i)	Art. 9(4)
Logging en monitoring	A.8.15	CC7.2	Art. 21(2)(g)	Art. 10(2)
Leveranciersbeheer	A.5.21	CC9.2	Art. 21(2)(d)	Art. 28
Incidentrespons	A.5.26	CC7.4	Art. 23	Art. 17

Auditbewijs

Bewijstype	Beschrijving	Framework
Cloudbeveiligingsbeleid	Gedocumenteerd beleid voor alle cloudomgevingen	Alle frameworks
Matrix gedeelde verantwoordelijkheid	Gedocumenteerde verantwoordelijkheden per cloudprovider/-dienst	Alle frameworks
CSPM-scanrapporten	Resultaten van configuratiecompliancescans	Alle frameworks
IAM-toegangsbeoordelingen	Bewijs van beoordeling van cloudtoegangsrechten	Alle frameworks
Encryptieconfiguratie	Documentatie van encryptie in rust en in transit	Alle frameworks
Cloudprovidercontracten	Overeenkomsten die beveiligingsverplichtingen dekken	NIS2, DORA
Incidentresponsplaybooks	Cloudspecifieke incidentresponsprocedures	Alle frameworks

Veelgemaakte fouten

Fout	Risico	Oplossing
Gedeelde verantwoordelijkheid niet begrijpen	Beveiligingslacunes waar geen van beide partijen controles beheert	Documenteer verantwoordelijkheden per clouddienst
Te ruime IAM-beleidsregels	Referentiecompromittering leidt tot volledige accountovername	Implementeer minimale rechten, gebruik IAM Access Analyzer
Publieke opslagbuckets	Gegevensblootstelling en regelgevingsboetes	Schakel bucket-beleid in, blokkeer publieke toegang standaard
Geen gecentraliseerde logging	Kan incidenten niet detecteren of onderzoeken	Aggregeer alle cloudlogs in SIEM
Enkelvoudige-accountarchitectuur	Impactradius van compromittering treft alles	Gebruik multi-accountstrategie met isolatiegrenzen
Wijzigingen van cloudprovider negeren	Nieuwe functies introduceren onbeheerd risico	Monitor providerwijzigingslogboeken, werk controles driemaandelijks bij

Hoe Orbiq cloudbeveiligingscompliance ondersteunt

Orbiq helpt u cloudbeveiligingscontroles aan te tonen:

Bewijsverzameling — Centraliseer cloudbeveiligingsbeleid, CSPM-rapporten en toegangsbeoordelingen
Continue monitoring — Volg de cloudbeveiligingshouding over providers
Trust Center — Deel uw cloudbeveiligingscontroles via uw Trust Center
Compliancemapping — Koppel cloudcontroles aan ISO 27001, SOC 2, NIS2 en DORA
Auditgereedheid — Kant-en-klare bewijspakketten voor auditorsbeoordeling

Verder lezen

Cloud Security Posture Management — Geautomatiseerde cloudconfiguratiecompliance
Zero Trust-architectuur — Identiteitsgerichte beveiliging voor cloudomgevingen
Encryptie — Gegevensbescherming in cloudomgevingen
Identiteits- en toegangsbeheer — Cloud IAM-best practices
Datasoevereiniteit — Beheer van datalocatievereisten in de cloud